本发明公开一种基于攻击行为的入侵检测方法及装置,涉及主机安全。
背景技术:
1、目前,入侵检测技术大概分为两种,一种是基于溯源图回溯的检测技术,一种是基于深度学习特征对比的检测技术。
2、第一种是基于溯源图回溯的检测技术。这种方法是将全量的日志构建成一张具有因果依赖关系的图。通过一种标签传播策略为图中的每个节点打上标签,或将低级的日志信息映射到具有高级语义att&ck模型中,之后依据权重策略为每条边设置权重,最后依据检测策略来触发警报,并在触发警后根据相关最短路径回溯算法进行回溯。但溯源图存在一些不足之处,其一是它无法引入外部知识,导致它的信息源单一,分析结果也大大受限;其二是它所产生的攻击链具有直接依赖性,同属一种攻击行为的日志有可能只是强相关而并非直接依赖的,其三日志量庞大时,针对图的维护和搜索也是一种考验。
3、第二种方法则是通过深度学习特征对比的方法来检测攻击。这种检测方法通过在绝对安全的情况下对日志的特征进行提取,并建立特征模型。而后对真实环境下的日志进行建模,建立特征模型,并与在安全环境下的特征模型进行对比,超过一定阈值则认为遭受了入侵。这种方式容易被投毒,导致特征模型有所偏差,并且随着客户业务的发展,日志的特征也会有所变化,需要不断的重新去训练模型。
技术实现思路
1、本发明针对现有技术的问题,提供一种基于攻击行为的入侵检测方法,所采用的技术方案为:
2、第一方面,所述基于攻击行为的入侵检测方法包括:
3、构建攻击链数据库,所述攻击链数据库包括至少一个预设攻击链信息;
4、获取实际环境中的日志信息;
5、将所述实际环境中的日志信息分别与每个预设攻击链信息进行匹配,判断是否有一条预设攻击链信息与所述日志信息匹配,若是,则判断有入侵行为。
6、可选地,所述构建攻击链过程包括:
7、依据cti报告构建攻击场景,即摘取cti报告中的攻击部分,构建攻击路径;
8、依据攻击目的对攻击路径进行分割,从而获取攻击行为,所述攻击行为包括至少两个攻击步骤;
9、依据att&ck模型的攻击目的将攻击路径进行分割,获取每一阶段具体的攻击行为;
10、按照攻击行为进行测试复现,从而获取攻击行为中的每个攻击步骤所产生的日志;
11、根据各个攻击步骤产生的日志获取攻击特征,各个攻击特征构建攻击链。
12、可选地,所述依据攻击路径中的攻击目的对攻击路径进行分割,从而获取攻击行为包括:
13、在cti报告中提取攻击信息,并构建完整的攻击路径
14、按照att&ck框架的攻击目的对攻击路径进行划分,划分后的每一个子路径代表着此攻击阶段所使用的具体攻击技术;
15、根据攻击技术中的内容提取攻击步骤。
16、可选地,所述对攻击行为进行测试复现,从而获取根据攻击步骤所产生的日志包括:
17、分别为每个攻击行为进行如下操作:
18、测试环境复现此攻击行为,获取攻击步骤产生的日志,并使用筛选条件筛选出每个攻击步骤的日志。
19、可选地,将所述实际环境中的日志信息分别与每个预设攻击链信息进行匹配,判断是否有一条预设攻击链信息与所述日志信息匹配包括:
20、将攻击链植入相关安全设备进行自动检测,分别将预设攻击链信息中的每个攻击行为与实际环境中的日志信息中的每个攻击行为进行匹配,若实际环境中的日志信息中的每个攻击行为均能够在同一条预设攻击链信息中的找到对应的攻击行为,则判断为是。
21、本申请还提供了一种基于攻击行为的入侵检测装置,所述基于攻击行为的入侵检测装置包括:
22、攻击链数据库构建模块,所述攻击链数据库构建模块用于构建攻击链数据库,所述攻击链数据库包括至少一个预设攻击链信息;
23、日志信息获取模块,所述日志信息获取模块用于获取实际环境中的日志信息;
24、匹配模块,所述匹配模块用于将所述实际环境中的日志信息分别与每个预设攻击链信息进行匹配,判断是否有一条预设攻击链信息与所述日志信息匹配,若是,则判断有入侵行为。
25、本申请还提供了一种电子设备,包括存储器和处理器,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时,实现如上述第一方面所述的方法。
26、本申请还提供了一种计算机存储介质,所述计算机可读取存储介质中存储有计算机程序,所述计算机程序被处理器执行时,用实现如第一方面所述的方法。
27、本发明的一个或多个实施例至少能够带来如下有益效果:本发明方法提供一种基于攻击行为的入侵检测方法,通过将攻击链模型在数据库中的检索,能够摆脱维护溯源图的资源消耗,并且攻击链所阐述的攻击行为均是真实环境中发生过的攻击,在任何业务场景下均具有较高的适用性,能够避免模型反复修改的麻烦。同时本发明方法的工作过程作为一种数据模型,它能够被植入任何日志收集设备中进行分析,进而简化安全分析人员的工作。
1.一种基于攻击行为的入侵检测方法,其特征在于,所述基于攻击行为的入侵检测方法包括:
2.如权利要求1所述的基于攻击行为的入侵检测方法,其特征在于,所述构建攻击链过程包括:
3.如权利要求2所述的基于攻击行为的入侵检测方法,其特征在于,所述依据攻击路径中的攻击目的对攻击路径进行分割,从而获取攻击行为包括:
4.如权利要求3所述的基于攻击行为的入侵检测方法,其特征在于,所述对攻击行为进行测试复现,从而获取根据攻击步骤所产生的日志包括:
5.如权利要求4所述的基于攻击行为的入侵检测方法,其特征在于,将所述实际环境中的日志信息分别与每个预设攻击链信息进行匹配,判断是否有一条预设攻击链信息与所述日志信息匹配包括:
6.一种基于攻击行为的入侵检测装置,其特征在于,所述基于攻击行为的入侵检测装置包括:
7.一种电子设备,其特征在于,包括存储器和处理器,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如上述权利要求1-5中任意一项所述的基于攻击行为的入侵检测方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读取存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如上述权利要求1-6中任意一项所述的基于攻击行为的入侵检测方法。
